Windows 10 e crash con la stampa, Microsoft rilascia un fix temporaneo

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sistem...neo_96235.html

Microsoft è tornata a parlare del problema con i crash di sistema in seguito ai tentativi di stampa su Windows 10, dopo aver applicato le patch di marzo. Ecco una procedura ufficiale per risolvere temporaneamente il problema

Click sul link per visualizzare la notizia.

[mattia.l]

Non c'entra nulla, ma rundll32 cosa fa?
E' un exe che lancia la funzione PrintUIEntry dentro la dll printui.dll?

[najmarte]

Stampare è uno scenario altamente specifico e inusuale. Ci può stare che sfugga ad accuratissimi controlli di una divisione RS, anche in una azienda grande come MS.

[Gundam.75]

Ok la pezza, ma fammi uno script che automaticamente mi sistema TUTTE le stampanti. Ho stampanti ricoh in tutta italia in dominio, in alcune sedi ne ho una decina, gli utonti (tanti) non lanceranno mai lo scripit con il nome della stampante...
Faccio prima a mandare loro lo script per disinstallare la patch

[Marko_001]

https://docs.microsoft.com/it-it/win...ndll32-printui
-
per il CMD
wmic qfe list
elenca gli aggiornamenti installati
e
wusa /uninstall /kb:<kbnumber>
dovrebbe rimuoverli

[Gundam.75]

Windows 2020 o 20h2
wusa /uninstall /kb:5000802

Windows 1909
wusa /uninstall /kb:5000808

[pity91]

sto rimuovendo la patch da tutti i clienti che lamentano il problema con le le stampanti Kyocera KX e metto in pasusa per 15 gg gli aggiornamenti.

[\_Davide_/]

Io dai miei ho risolto installando i driver Kyocera V4 e lasciando la patch installata. Se sorgono complicazioni vi avviso

In teoria potrebbe bastare rimuovere la stampante e riaggiungerla tramite Windows.

[SpyroTSK]

In azienda abbiamo stampanti Utax (kyocera travestite), Kyocera e Zebra, su tutte e tre stesso problema.

Risolto togliendo i driver e rimessi ma in PCL6, altrimenti come suggerito rimuovendo gli aggiornamenti e bloccare gli aggiornamenti per un tot di tempo.

Però sticazzi, se ci fossero stati problemi con le stampanti sconosciute e cinesi, ci poteva stare, ma stiamo parlando di macchine da lavoro ampiamente vendute.

[LL1]

Quote:

Originariamente inviato da SpyroTSK

Però sticazzi [...]

non cancella certo il disservizio che ha arrecato (anche se a regola il codice è fornito 'AS IS') però è per questo che personalmente almeno ritengo sia quanto mai opportuna maggior trasparenza (la 'gente' infatti vorrebbe capire e non limitarsi alle due righe di comunicato che non spiegano evidentemente una beneamata mazza)..

[Gundam.75]

Torno a ripetere: posso anche accettare il bug (per me il disservizio è stato minimo in quanto gli aggiornamenti li installo tramite wsus con almeno un mese di ritardo), ma nel caso, mi fai un eseguibile da far girare (che posso distribuire con le group policy) che mi sistema le stampanti.

[pity91]

in effetti mi aspettavo un fix più celere visto il problema abbastanza serio.

[LL1]

Quote:

Originariamente inviato da Gundam.75

Torno a ripetere [...]

beh, te (nel senso di scenario che sembra di capire tu sia chiamato a gestire) sarai accontentato dato che *sicuramente* troverai per quella data un nuovo fix (che poi installerai anch'esso dopo 30 giorni per cui insomma, tra massimo 60 lo potrai applicare con una certa serenità -nel frattempo magari vi hanno stuprato la rete ma questo è un altro discorso -)

[\_Davide_/]

Quote:

Originariamente inviato da LL1

nel frattempo magari vi hanno stuprato la rete ma questo è un altro discorso

Eh mica tanto... Ci si assume un bel rischio a ritardare gli aggiornamenti di 60 giorni (poi per carità, dipende anche sempre da cosa si sta gestendo).

[kalius]

Ma tutti voi che state correndo ai ripari disinstallando le patches incriminate, cosa fate di solito? Le installate non appena Microsoft le rilascia? Perchè se è così IMHO state a fa na cazzata...

Io non mi sogno manco per sbaglio di installare una patch subito dopo la pubblicazione di Microsoft: aspetto sempre una settimana, POI distribuisco ad un Gruppo di Controllo, e SOLO DOPO aver verificato sul gruppo di controllo che tutto ok e che in internet non ci siano mega-richiami che procedo all' effettiva distribuzione su tutte le macchine, magari procedendo in Waves: wave 1, 2, 3 e via dicendo, così che non patchi tutto e subito.

Naturalmente mi riferisco ad ambienti di dominio correttamente configurati e senza computer standalone qui e la. Magari verificando che le call RPC sul Domain Controller funzionino a dovere xD

Anche perchè per esperienza personale, già dopo 24/48h, se si consultano i siti giusti già si sa se si sono verificati problemi di qualche tipo da qualche parte nel mondo (Hardware Upgrade li riporta mediamente con almeno 48 ore di ritardo, ad esempio). Io ho 6000 Client e centinaia di server, mica bruscolini

Quote:

Originariamente inviato da LL1

beh, te (nel senso di scenario che sembra di capire tu sia chiamato a gestire) sarai accontentato dato che *sicuramente* troverai per quella data un nuovo fix (che poi installerai anch'esso dopo 30 giorni per cui insomma, tra massimo 60 lo potrai applicare con una certa serenità -nel frattempo magari vi hanno stuprato la rete ma questo è un altro discorso -)

Nella pratica non è quasi mai così, per fortuna. In genere il problema lo risolvi nel Security Rollup successivo, un mese più tardi, dove il nuovo aggiornamento "superseeda" (bleah, che brutta parola!) quello vecchio. Non certo 60 giorni. Ma cmq mi è successo di ritardare anche di 60 giorni su specifici bug, vedi lo scorso anno nei mesi tra Gennaio e Marzo, dove Microsoft non ne ingarrava una. Ho sudato freddo in quelle circostanze. Sapere di dover patchare un bug di sicurezza di media gravità, col rischio di mettere KO (BSOD) i computer di centinaia di persone che lavorano da casa (e no, non usiamo InTune :P ), persone che sono in pieno Lockdown o in quarantena, e che non possono permettersi di rimanere senza computer ne sono in grado di andare in ufficio, e che a loro volta supportano persone che creano vaccini che inoculano a te e me... beh... ti lascio immaginare il resto.

Quando in passato si sono verificati hacking di sistemi dovuti a vulnerabilità non patchate, si parlava di patch vecchie di ANNI (WannaCry se non ricordo male), non certo uno o due mesi. Non mi sembra che in tempi recenti quanto meno sia successo.

E comunque resta il fatto che è sbagliato da Best Practices installare una Patch immediatamente, mi incul***i qualsiasi collega o sottoposto che lo facesse. Anzi, me li sono incu***i a dire il vero e rischiava di piacermi.

Quote:

Originariamente inviato da \_Davide_/

Eh mica tanto... Ci si assume un bel rischio a ritardare gli aggiornamenti di 60 giorni (poi per carità, dipende anche sempre da cosa si sta gestendo).

Ma dipende anche dalla vulnerabilità: quanto è grave? Come è catalogata da Microsoft o da chi l'ha scoperta? Richiede accesso fisico alla macchina o può essere exploitata da remoto? Se exploitabile da remoto, si può chiudere momentaneamente con un firewall? Magari i colleghi del networking possono darti una mano? Possiamo fare un workaround con una Policy e bloccare il processo incriminato se si tratta di un processo? Se richiede accesso fisico il rischio si abbassa notevolmente... Inoltre, una volta exploitata cosa consente di fare? Ottieni il controllo di una singola macchina o di un Domain Controller ? Cioè voglio di... Le patch si studiano, mica si clicca e si rilascia, quello so buoni tutti a farlo...

Considerazione 1: il discorso decade in caso di bug 0-day gravissimi, li si fa come il chirurgo che riceve il paziente che arriva in codice rosso/viola dopo un incidente e necessita di intervento immediato.
Considerazione 2: Dipende anche un pò dall'ambiente in cui siete, se siete amministratori di sistema di uno studio di avocati con 5-6 postazioni o fino a 20-30 computer e un paio di server... beh... fate come ve pare... Probabilmente non avete neanche un sistema centralizzato per gli aggiornamenti. Io parlo di ambienti grossi e/o geograficamente distribuiti o mission-critical, magari con migliaia e migliaia di utenti/sistemi e con sistemi centralizzati come WSUS, SCCM, Matrix42, Zenworks Configuration Management etc etc...

[El Tazar]

Ho avuto il problema su due pc finora ed è bastato eliminare e reinstallare la stampante

[\_Davide_/]

Quote:

Originariamente inviato da kalius

Ma dipende anche dalla vulnerabilità: quanto è grave?

Domanda sbagliata: "Quanto può impattare sul mio sistema?" Il CVE non vuole dire nulla.

Quote:

Originariamente inviato da kalius

Come è catalogata da Microsoft o da chi l'ha scoperta?

Chissene: devi capire quali danni può fare a te!

Quote:

Originariamente inviato da kalius

Richiede accesso fisico alla macchina o può essere exploitata da remoto?

Anche questa vuol dire poco, a meno che tu abbia controllo al 100% sugli utonti.

Quote:

Originariamente inviato da kalius

Se exploitabile da remoto, si può chiudere momentaneamente con un firewall?

Se non passa dal fw non è un problema, sempre che non possa comunque entrarti dall'interno (anche qui, a meno che filtri anche il traffico interno).

Quote:

Originariamente inviato da kalius

Inoltre, una volta exploitata cosa consente di fare? Ottieni il controllo di una singola macchina o di un Domain Controller?

Anche se fosse? Se entrano sul pc della segretaria so' già mazzi con le normative vigenti

[kalius]

Quote:

Domanda sbagliata: "Quanto può impattare sul mio sistema?" Il CVE non vuole dire nulla.

Ho scritto CVE io? Mi riferivo alle informazioni fornite dai ricercatori di sicurezza su come verificare la vulnerabilità, step per riprodurla , proof of concept, e così valutare da me la gravità in relazione ai sistemi che utilizzo. Sai com'è, sono un informatico. Se qualcuno mi dice che c'è una vulnerabilità io mi vado a leggere tutto su quella vulnerabilità e cerco di individuare tutte le informazioni utili per potermi consentire una valutazione, nei limiti ovviamente delle mie competenze.

Quote:

Chissene: devi capire quali danni può fare a te!

Vedi sopra, è ovviamente solo questo il mio scopo.

Quote:

Anche questa vuol dire poco, a meno che tu abbia controllo al 100% sugli utonti.

Se sei un System Administrator che sa fare il suo lavoro, credimi, il controllo può essere estremamente alto. Ma veramente alto. Sono d'accordo che tu non possa averlo al 100%, per carità di Dio, ma diciamo al 97-99%. Te lo faccio con un mix di policies (centinaia a dire il vero), scripts e un tool di terze parti... Indipendentemente da questo, a parità di gravità, dovrai concordare che una vulnerabilità sfruttabile da remoto è più grave di una sfruttabile solo localmente PER DEFINIZIONE: nell'ultimo caso devi avere accesso fisico alla macchina, nell'altra invece sei automaticamente suscettibile a chiunque abbia un computer e una connessione ad internet. Fa una grossa differenza. E' l'ABC della sicurezza informatica. E devi tenerlo in considerazione.

Quote:

Anche se fosse? Se entrano sul pc della segretaria so' già mazzi con le normative vigenti

Stai estrapolando una frase senza il suo contesto: ci si riferiva al fare una analisi dei potenziali Vantaggi/Svantaggi e decidere se rilasciare una patch potenzialmente problematica o no. Ovvio che voglio mantenere il pc della segretaria patchato, ma io devo avere una visione olistica del tutto.

Se una patch mi comporta più rischi che benefici, in relazione alla gravità della medesima e alla criticità dell'ambiente che devo proteggere, io aspetto. E mentre aspetto, metto in campo procedure di mitigazione del rischio.

Quote:

Se non passa dal fw non è un problema, sempre che non possa comunque entrarti dall'interno (anche qui, a meno che filtri anche il traffico interno).

Non l'ho capita questa. Se puoi bloccare un ransomware (che potrebbe accedere dall'esterno) con un firewall perimetrale, non lo useresti in un contesto di mitigazione del rischio? Stessa cosa dicasi per il firewall di Windows. La diffusione di Wannacry in alcune aziende alcuni anni fa venne proprio bloccata facendo intervenire i firewall interni (tra le reti).


Mi soffermo su un ultimo aspetto, premettendo che si parlava di valutare le criticità delle patch e l'urgenza di applicarle a seconda di un CI (Configuration Item) impattato:

Quote:

Anche se fosse? Se entrano sul pc della segretaria so' già mazzi con le normative vigenti

Scusa, ma tu sei un appassionato di computer o sto parlando con un collega?

Davvero mi vieni a parlare di normativa vigente mentre io discuto di valutazione del rischio nel caso di un domain controller o il pc della segretaria?

Ma sai cos'è un Domain Controller? Riesci a immaginare le implicazioni di un incident di sicurezza su un Domain Controller che funziona anche come DNS?

E' finita, game over. Parliamo nel mio caso di miliardi di euro di danni e milioni di dati riservati potenzialmente trafugati in uno dei più grandi (se non il più grande) disastro informatico della storia. O pensi che gli IT lavorano tutti nel negozietto sotto casa?


Tornando un attimino in topic, visto che stiamo un pò uscendo dal seminato: la regola d'oro prima di rilasciare un aggiornamento è TEST TEST TEST and TEST.

[\_Davide_/]

Quote:

Originariamente inviato da kalius

Davvero mi vieni a parlare di normativa vigente mentre io discuto di valutazione del rischio nel caso di un domain controller o il pc della segretaria?

Ma sai cos'è un Domain Controller? Riesci a immaginare le implicazioni di un incident di sicurezza su un Domain Controller che funziona anche come DNS?

Sì, e per fortuna non ci ho a che fare

Ti assicuro comunque che se sei sysadmin e qualcuno ti denuncia perché dal pc della segretaria è uscito in qualche modo un file aziendale per quanto il danno sia pressoché nullo tu puoi vederterla parecchio brutta.

Se poi arrivi ad avere problemi sul dc significa che non sai fare il tuo lavoro (evidente non sia così nel tuo caso, è per spiegare la situazione).

[cdimauro]

Quote:

Originariamente inviato da Svelgen

Bene.
Quindi se ne deduce che il problema non erano certo i driver di stampa che fino a ieri funzionavano benissimo.

Al solito deduci male, come ti ho già scritto qui.